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Prufungsantrag gem. 5 44 PatG ist gestellt 
(3) Uzenzkartengesteuertes Chipkartensystem 

(§) Die Erftndung betrifft ein Chipkartensystem, dessen Chip- 
karten (AK, LK) jeweils mlndestens einon intornen Prozossor 
(P) und einon nichtftuchttgen Speicher (S) zumindest fur ein 
Betriebssystom des Prozessors (P) aufweisen. Es sind eine 
Viefzahl von Anwenderchipkarten (AKn) vorhanden, deren 
Prozessoren (P) jeweils erst nach einer Freischartung An- 
wenderbefehlsanweisungen ausfuhren konnen, und zumin- 
dest eine Uzertzchipkarte (LK), in deren ntchtfluchtigen 
Speicher (S) eine begrenzbare Anzahl von freischaltbaren 
Anwenderchipkarten (AKn) verwartbar ist. Mitt els minde- 
stens einer Schreib-Lesestation (A KG) fur Chipkarten (LK) 
wird in einer Anwenderchtpkarte (AKi) die Freischaltung des 
internen Prozessors (P) bewirkt, wenn im Speicher (S) der 
m Lizenzchipkarte (LK) die Anzahl der freischaltbaren Anwen- 
derchipkarten (Akn) noch nicht erschdpft ist. AnschlieSend 
[ erfolgt im Speicher (S) der Lizenzchipkarte (LK) eine 
Dekrementierung der Anzahl freischaJtbarer Anwenderchip- 
karten (Akn). 
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Chipkarten finden in stark steigendem MaBe in unter- 
schiedlichsten Bereichen des taglichen Lebens Anwen- 
dung. Dementsprechend sind sehr groBe Mengen der- 
selben im Umiauf. Oblicherweise sind eine Vielzahl von 
MaBnahmen vorgesehen, urn nach der Ausgabe der 
Chipkarte, d. h. wahrend der normalen Benutzung, Ver- 
mogensschaden insbesondere fur den jeweiligen Kar- 
tenbesitzer zu vermeiden. So muB z. B. nach einem Kar- 
tenveriust zumindest eine unbefugten Benutzung der 
Karte durch beliebige Dritte verhindert werden. 

Aufgrund der steigenden mengenmaBigen Verbrei- 
tung mussen aber auch MaBnahmen vorgesehen wer- 
den, urn einerseits insbesondere groBere Kartenmengen 
bereits vor deren einzelner Ausgabe an die Endkunden 
zu schutzen, und andererseits die Menge der legal an 
Endkunden ausgegebenen bzw. z. B. pro Zeitraum oder 
einem an einen Lizenzgeber bzw. Dienstleistungsbereit- 
steller aktueil entrichteten Vergutungsbetrag maximal 
ausgebbaren Karten zu uberwachen bzw. zu begrenzen. 

So werden Karten z. B. in u. U. sehr groBen Mengen 
von einem Kartenhersteller an einen Verteiler von Kar- 
ten, z. B. an ein Geldinstitut geschickt Dieser Weg ist 
vergleichbar mit dem Transport von groBeren Geid- 
mengen zwischen Banken, und somit entsprechend ge- 
fahrdet Ferner ist es vielfach wunschenswert, auch auf 
Seiten des Verteilers von Karten, die Anzahl der z. B. 
pro Angestellten an Endkunden herausgebbaren Kar- 
ten genau zu Qberwachen, zu dokumentieren und zu 
begrenzen, urn auch hierbei die Gefahr von MiBbrauch 
moglichst aus zuschlieBen. Da in der Regel mit der Ab- 
gabe einer Karte an einen Endkunden die Inanspruch- 
nahme von Leistungen durch diesen ermoglicht wird, 
konnen durch Chipkarten, welche unter Umstanden in 
erhdhter Menge unzulassigerweise in den Umiauf ge- 
bracht worden sind, erhebliche Vermogensscnaden ent- 
stehen. 

Der Erfindung liegt die Aufgabe zugrunde, ein Chip- 
kartensystem anzugeben, bei dem einerseits die Anzahl 
der in den Umiauf bringbaren Chipkarten genau beein- 
fluBt werden kann, und bei dem andererseits die norma- 
le, voile Funktionaiitat einer jeden Chipkarte erst durch 
zusatzliche, insbesondere im Moment von deren Ausga- 
be an einen Endbenutzer auszufuhrende Anpassungen, 
herstellbar ist 

Die Aufgabe wird gelost mit dem im Anspruch 1 an- 
gegebenen Chipkartensystem. Vorteilhafte weitere 
Ausgestaltungen desselben sind in den Unteransprii- 
chen enthaiten. 

Die Erfindung und vorteilhafte weitere Ausgestaltun- 
gen desselben werden anhand der nachfolgend kurz an- 
gef uhrten Figuren naher erlautert Dabei zeigt 

Fig. 1 ein schematisches Strukturbild des erfindungs- 
gemaBen Chipkartensystems, und 

Fig. 2 eine bevorzugte Ausfuhrungsform des Chip- 
kartensystems, bei der zur Freischaltung einer Anwen- 
derchipkarte ein von dessen Betriebssystem fur die Aus- 
fuhrung von Anwenderbefehlsanweisungen benotigten 
Freigabedatensatzes in den nichtfhlchtigen Speicher ge- 
laden wird. 

Das erfindungsgemaBe Chipkartensystem verfugt 
prinzipiell uber zwei Typen von Chipkarten. Zum einen 
smd sogenannte Anwenderchipkarten AKn in der Regel 
in einer sehr groBen Vielzahl vorhanden. Im Beispiel der 
Fig. 1 sind einige davon rechts oben aufgefachert darge- 
stellt, wobei zur weiteren Erlauterung auf die im Vor- 
dergrund dargesteUte Anwenderchipkarte AKi Bezug 



genommen wird. Erfindungswesentlich ist ein weiterer 
Chipkartentyp vorhanden, welcher die Funktion einer 
Freischaltkarte hat und im Foigenden als sogenannte 
Lizenzkarte bezeichnet werden soil. Von diesem Chip- 
5 kartentyp sind naturgemaB nur sehr wenige im Besitz 
von ausgewahlten, besonders legitimierten Personen. 
Mogiicherweise ist sogar nur eine einzige derartige 
Karte im Umiauf. Im Beispiel der Fig. 1 ist eine derarti- 
ge Lizenzchipkarte LK links oben dargesteilt 
10 Vorteiihaft sind alle Karten des Chipkartensystems 
hardwaremaBig identisch, und unterscheiden sich in der 
Art des jeweils ausfuhrbaren Anwenderprogrammes. 
Hierdurch wird die Herstellung der Chipkarten des Sy- 
stems erheblich vereinfacht Dementsprechend verfu- 
is gen im Beispiel der Fig. 1 sowohl die Anwenderchipkar- 
ten AKi als auch die beispielhaft eine Lizenzchipkarte 
LK uber die gleichen Hardwareelemente. Diese sind 
jeweils im wesentlichen ein interner Prozessor P, ein 
nichtfluchtiger Speicher S zumindest zur Aufnahme fur 
20 ein Betriebssystem des Prozessors P, eine Schnittstelle 
DS zum Datenaustausch mit einer Schreib-Lesestation 
AKG, welche z. B. in Form eines Kontaktfeld zum be- 
ruhrungsbehafteten Datenaustausch oder in Form einer 
Antenne zum beruhrungslosen Datenaustausch ausge- 
25 fuhrt sein kann, und chipkarteninterner Datenbus DS. 
GemaB der Erfindung sind die Anwenderchipkarten 
AKn so organisiert, daB deren Prozessor P jeweils erst 
nach einer Freischaltung Anwenderbefehlsanweisungen 
ausfQhren kann, wahrend im nichtfhlchtigen Speicher S 
30 der zumindest einen Lizenzkarte LK eine begrenzbare 
Anzahl von freischaltbaren Anwenderchipkarten AKn 
verwaltbar ist SchlieBlich verfugt das erfindungsgema- 
Be Chipkartensystem Qber mindestens eine Schreib-Le- 
sestation AKG fur Chipkarten LK bzw. AKn, woruber 
35 in einer Anwenderchipkarte AKi die Freischaltung des 
internen Prozessors P wirkt wird, wenn im Speicher S 
der Lizenzkarte LK die maximale Anzahl der freischalt- 
baren Anwenderchipkarten Akn noch nicht erschdpft 
ist Nach einer erfolgreichen Freischaltung wird im 
40 Speicher S der Lizenzchipkarte LK wiederum mit Hilf e 
der Schreib-Lesestation AKG eine Dekrementierung 
der Anzahl freischaltbarer Anwenderchipkarten Akn 
bewirkt 

Zum Datenaustausch zwischen einer Lizenzchipkarte 
45 LK und einer aktuell zu bearbeitenden Anwenderchip- 
karte AK mussen beide Chipkarten z. B. bei einer be- 
ruhrungslosen Datenubertragung in den Sendebereich 
der Schreib-Lesestation AKG gebracht werden. Bei ei- 
nem beruhrungsbehafteten Datenaustausch kann es 
so notwendig sein, die Chipkarten u. U. sukzessive mehr- 
mals abwechselnd in die Schreib-Lesestation AKG ein- 
zufuhren und wieder zu entnehmen. Bei der in Fig. 1 
dargestellten Ausfuhrung weist die Schreib-Lesestation 
AKG beispielsweise zwei Kartenleseeinheiten auf. Die 
55 erste Kartenleseeinheit KL1 dient zur Aufnahme der 
Lizenzchipkarte LK, wahrend die zweite Kartenleseein- 
heit KL2 zur Aufnahme einer Anwenderchipkarte AKi 
dient In einem solchen Fall ist fur eine Freischaltung 
einer Anwenderchipkarte vorteiihaft kein Wechsel von 
60 Chipkarten notwendig. 

Bei einer bevorzugten Ausfuhrungsform der Erfin- 
dung wird vom Prozessor P einer Anwenderchipkarte 
AKi zur Ausiosung einer Freischaltung zunachst eine 
ZufalJszahi Z erzeugt und mittels der Schreib-Lesesta- 
65 tion AKG an die Lizenzchipkarte LK ubertragen. Ein 
derartiger Fall ist im Beispiel der Fig. 1 mit Hilfe von 
gekrummten Pfeilen dargesteilt, welche die jeweilige 
Richtung des Datenuberganges zwischen der Daten- 
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schnittstelle DS der jeweiligen Chipkarte und der 
Schreib-Lesestauon AKG anzeigen. So wird eine Zu- 
fallszahl Z von der Anwenderchipkarte AKj uber die 
Kartenleseeinheit KL2 gelesen, und mitteis der in den 
Speicher S der Lizenzchipkarte LK geiaden. 

Vom Prozessor P der Lizenzchipkarte LK wird dann 
fur den Fall, daB die Anzahl der im nichtfluchtigen Spei- 
cher S enthaitenen, freischaltbaren Anwenderchipkar- 
ten Akn noch nicht erschopft ist, eine von der jeweiligen 
Zufallszahl abhangige Freigabekennung FDi(Z) gene- 
riert, uber die Kartenleseeinheit KL1 in die Schreib-Le- 
sestation AKG geiaden und schlieBlich uber die Karten- 
leseeinheit KL2 in die Anwenderchipkarte AKi ruckge- 
schrieben. Vom Prozessor P der Anwenderchipkarte 
AKi wird die Freigabekennung FDi auf Korrespondenz 
mit der Zufallszahl uberpruft und bei positivem Aus- 
gang der Prufung eine Aktivierung des gesamten Satz 
zulassiger Anwenderbefehlsanweisungen bewirkt. Fiir 
den Fall, daB die Anzahl freigebbarer Anwenderchip- 
karten verbraucht ist, wird von der Lizenzchipkarte ent- 
weder kein Freigabekennung oder eine ungultige, d h. 
in z. B. einer unzulassigen Weise mit der Zufallszahl ver- 
knupfte Freigabekennung an die anfordernde Anwen- 
derchipkarte ubermitteit. 

Bei dieser Ausfuhrung der Erfindung aktivieren sich 
somit die Anwenderchipkarten AKn nach erfolgrei- 
chem Enipfang einer zulassigen Freigabekennung 
seibst 

Die Erfindung weist somit den doppelten Vorteii auf, 
daB Anwenderchipkarten einerseits vor einer Freischal- 
tung vollkommen unbrauchbar sind, und andererseits 
die Freischaltung von Anwenderchipkarten mit Hilfe 
des Systems der Lizenzchipkarte in einem eng begrenz- 
baren Rahmen genau tiberwachbar ist 

Bei einer anderen Ausfuhrung des erfindungsgema- 
Ben Chipkartensystems erfolgt die Freischaltung einer 
Anwenderchipkarte AKi durch Obertragung eines vom 
Betriebssystem fur die Ausfuhrung von Anwenderbe- 
fehlsanweisungen benotigten Freigabedatensatzes in 
den nichtfluchtigen Speicher der Anwenderchipkarte 
AKi uber die Schreib-Lesestation AKG. In diesem Fall 
sind die Anwenderchipkarten nicht in der Lage, sich 
seibst zu aktivierea Vielmehr wird der Freigabedaten- 
satz fur die Erreichung der vollen Funktionsfahigkeit 
zwingend benotigt 

In diesem Fall wird vom Prozessor P einer Anwen- 
derchipkarte AKi zur Auslosung einer Freischaltung 
vorteilhaft wiederum zunachst eine Anforderung auf 
Obermittlung eines Freigabedatensatzes FDi mitteis 
der Schreib-Lesestation AK an die Lizenzchipkarte 
(LK) ubertragen. Vom Prozessor P der Lizenzchipkarte 
LK wird dann fur den Fall, daB die Anzahl freischaltba- 
rer Anwenderchipkarten AKn im nichtfluchtigen Spei- 
cher S noch nicht erschopft ist, ein Freigabedatensatz 
FDi abgerufen bzw. generiert und wiederum mitteis der 
Schreib-Lesestation AKG an die Anwenderchipkarte 
AKi ubertragen. Dieser wird vom Prozessor P der An- 
wenderchipkarte AKi schlieBlich zur Ermdglichung des 
Betriebs des gesamten Satzes zulassiger Anwenderbe- 
fehlsanweisungen des Betriebssystems in den zumindest 
das Betriebssystem der Anwenderchipkarte AKi enthal- 
tenden iuchtflQchtigen Speicher S ordnungsgemaB ein- 
gebunden. 

Bei diese Ausfuhrung der Erfindung ist die Sicherheit 
gegenuber unzulassigen Manipulationen weiter verbes- 
sert, da die Anwenderchipkarten ohne einen gegebe- 
nenfalls zusatzltch auf die jeweilige Anwenderchipkarte 
individualisierte Freigabedatensatz datentechnisch kei- 
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nesfalls funktionsfahig sind und somit auch nicht in einer 
unbefugten Weise freigeschaltet werden konnen. 

Diese Ausfuhrung des erfindungsgemaBen Chipkar- 
tensystems wird nachfolgend unter Heranziehung des 
5 Beispieles von Fig. 2 naher erlautert Dabei dient als 
Freigabedatensatz bevorzugt eine betriebssystemspezi- 
fische Kommandotabelle KTB im nichtfluchtigen Pro- 
grammspeicher S des Prozessors dient, womit die Zu- 
ordnung adr 1 . . . adr k . . . adr n von Anwenderbefehls- 
io anweisungen AWB x zu den diese jeweils ausfuhrenden 
Teiien des Betriebssystems BSC der Anwenderchipkar- 
te AKi hergestellt wird. 

Daruber hinausgehend kann es vorteilhaft sein, wenn 
der interne Prozessor P und ein zur Aufnahme eines 
15 Betriebssystems zum Betrieb des Prozessors P, und 
hieriiber wiederum gegebenenfalls weiterer Funktions- 
elemente der Anwenderchipkarte, wie z. B. Energiever- 
sorgung, Datenschnittstelle zum Austausch von Daten 
zwischen der Chipkarte und externen Schreib- und Le- 
20 sestationen u.dgL, dienender nichtfluchtigter Pro- 
grammspeicher S so aufeinander abgestimmt, daB die 
Anwenderchipkarte nach ihrer Herstellung nur eine Be- 
fehlsanweisung ausfuhren kann, wenn sie erstmalig mit 
einer Schreib-Lesestation in datentechnische Verbin- 
25 dung gebracht wird. Diese Befehlsanweisung bewirkt 
das Nachladen einer betriebssystemspezifischen Kom- 
mandotabelle in den nichtfluchtigen Speicher des Pro- 
zessors. Erst nach erfolgreicher Beendigung dieser La- 
deoperation ist eine Zuordnung von weiteren, insbeson- 
30 dere uber externe Schreib-Lesestationen der Anwen- 
derchipkarte zugefuhrten Anwenderbefehlsanweisun- 
gen zu den fur deren Ausfuhrung vorgesehenen, jeweili- 
gen Betriebssystemteilen moglich. Die Ausftihrung der 
fur eine ordnungsgemaBe Funktionsfahigkeit der An- 
35 wenderchipkarte gehorigen Befehlsanweisungen in Be- 
zug auf alle wahrend der Normalnutzung maximal mog- 
hchen Operationen ist somit erst nach Einbindung der 
Kommandotabelle moglich. 
Diese Ausfuhrung bietet den Vorteii, daB u. U. auch 
40 sehr groBe Mengen frisch hergestellter Anwenderchip- 
karten nahezu vollkommen unbrauchbar sind. Die Er- 
mdglichung der Gebrauchsfertigkeit erfolgt vielmehr 
separat fur jede einzelne Chipkarte meist erst unmittel- 
bar vor deren Obergabe an den berechtigten Endbenut- 
45 zer. Neu hergestellte Chipkarten, in deren nichtfluchti- 
gem Speicher bzw. anderen Speicherbereichen zwar die 
Codierung der aufeinanderfolgenden Betriebssystem- 
befehlsanweisungen geiaden ist, sind deswegen nicht 
funktionsfahig, weii aufgrund der fehlenden Koraman- 
50 dotabelle eingehende Anwenderbefehlsanweisungen 
nicht identifiziert und der bzw. die zu deren Ausfuhrung 
benotigten Betriebssystemteile wegen der nicht vorhan- 
denen, dazugehorigen Verzweigadressen nicht aktiviert 
werden konnen. Praktisch ist es mit vernunftigem Zeit- 
55 und Mittelaufwand nahezu nicht moglich, in der Art 
eines Reverse-Engineering die funktionelle Struktur des 
Betriebssystems so zu rekonstruieren, daB die zur Aus- 
fuhrung einzelner Anwenderbefehlsanweisung gehdri- 
gen Teile und deren mogliche Wechseiwirkungen in 
60 Form von Einsprungadressen zuganglich werden. 

Die Gestaltung einer Anwenderchipkarte gemaB die- 
ser Ausfuhrung der Erfindung bietet den Vorteii, daB die 
Chipkarte vor deren Autorisierung durch Nachladen 
der Kommandotabelle meist unmittelbar vor Obergabe 
65 in den Herrschaftsbereich des neuen Besitzers nahezu 
gegen jede Art von unbefugtem Gebrauch geschutzt ist, 
ohne daB aufwendige MaBnahmen im Hard- oder Soft- 
warebereich der Chipkarte vorgesehen werden muBten, 
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weJche die Herstellung der Chipkarte verteuern und 
deren Gebrauchsfahigkeit mogiicherweise einschran- 
ken wiirden. Einerseits ist auf einfache Weise moglich, 
die Chipkarte zur alleinigen Ausfuhrbarkeit des Lade- 
befehls fur die Kommandotabelle zu ertuchtigen. Ande- 
rerseits bereitet das Nachladen der Kommandotabelle 
datentechnisch fur eine befugterweise im Besitz des Co- 
des der Kommandotabelle befindiiche Einrichtung, wie 
z. B. eine Bank, keinerlei Probleme. Bei diesem Vorgang 
konnen bei Bedarf gleichzeitig auch beliebige weitere, 
die jeweilige Chipkarte z. B. bezuglich des neuen Benut- 
zers individualisierende Daten ubertragen werden. 

Neben der Verhinderung unbefugter Benutzung von 
Anwenderchipkarten vor deren Obergabe in den nor- 
malen Gebrauch wird durch die Erfindung auch unter- 
bunden, daB in dieser Zwischenphase in den bei der 
HersteJiung auf die Anwenderchipkarten aufgebrachten 
Prograrnmcode seibst, insbesondere der Code des Be- 
triebssystems, in unbefugter Weise Einsicht genommen 
bzw. dieser unbefugt oder unprofessionell verandert 
wird. 

Zur Eriauterung ist auf der rechten Seite der Fig. 2 
beispielhaft in anschaulicher Tabellenform ein Aus- 
schnitt aus der Sequenz der aufeinanderfolgenden An- 
weisungen eines Betriebssystemcodes BSC dargestellt. 
Dabei ist gedanklich die Tabelle sowohl nach oben als 
auch nach unter fortzusetzen. Der Ausschnitt zeigt bei- 
spielhaft eine vorangehende Einsprungadresse adr k-1 
und eine darauf folgende Einsprungadresse adr k. Die 
einer dieser Einsprungsadressen zugeordnete Zeile des 
Betriebssystembefehlscodes und die bis zur nachsten 
Einsprungadresse darauf folgenden Zeilen des Betriebs- 
systembefehlscodes bilden eine Gruppe, welche die 
Ausfuhrung eines bestimmten Anwenderkommandos 
bewirkt 

Im Beispiel der Fig. 2 wird der Anwenderchipkarte 
ein aktuelles Anwenderkommando AWB x bevorzugt 
von einer externen Schreib-Lesestation zugefQhrt Die- 
ses soil vom Betriebssystem ausgefuhrt werden. Hierzu 
wird eine Kommandotabelle KTB bendtigt, welche qua- 
si einen den Zugang zu den f unktionellen Teileinheiten 
des Betriebssystems BSC ermoglichenden Schlussel 
darstellt. Beispielhaft besteht jede Zeile der Komman- 
dotabelle KTB aus einem ersten Codeteil bic k, welcher 
zur Interpretation, cL h. zur Erkennung des Typs, des 
aktuellen Anwenderkommandos AWB x client, und aus 
einem zweiten Codeteil adr k, welcher die Startadresse 
der dazugehorigen Betriebssystembefehlssequenz ent- 
halt Die Kommandotabelle KTB besteht somit aus ei- 
ner ersten TeiltabeUe BIT, welche die zur Befehlsinter- 
pretation dienenden Codes bic 1, bic 2, bic 3 ... bic k . . . 
bic n-1, bic n enthalt, und aus einer zweiten TeiltabeUe 
BSC, welche die dazugehdrigen Einsprungsadressen adr 
1, adr 2, adr 3 . . . adr k . . . adr n-1, adr n der entsprechen- 
den Betriebssystemsequenzen enthalt 

Bei dem in der Fig. 2 dargestellten Beispiel wird ein 
mit AWB x bezeichnetes Anwenderkommando der An- 
wenderchipkarte zugefuhrt Dieses wird durch die Co- 
dierung bic k als zulassiger Befehl erkannt, was in der 
Figur durch eine strichlierte Linie auf der linken Seite 
der Kommandotabelle KTB dargestellt ist. Nun wird die 
dazugehorige Einsprungadresse adr k aktiviert und 
hierdurch der Code des Betriebssystems BSC von Be- 
ginn bei der Einsprungadresse adr k an ausgefuhrt. In 
der Figur ist der Aufruf der zum Anwenderkommando 
AWB x gehdrenden Betriebssystemsequenz durch einen 
von der entsprechenden Zeile der Kommandotabelle 
KTB bis zur Einsprungadresse adr k veriauf enden Pfeil 



10 



15 



20 



30 



35 



40 



45 



50 



55 



60 



65 



SBS dargestellt. Es ist zu erkennen, daB ohne die Briik- 
kenfunktion einer Kommandotabelle KTB kein Anwen- 
derkommando AWB x ausfiihrbar ist, da keine Zuord- 
nung desselben zu dem dazugehorigen Teil des Be- 
triebssystems moglich ist Diese erfindungsgemaBe Aus- 
gestaltung einer Anwenderchipkarte stellt somit einen 
auBerordentlich wirksamen Schutz gegen unbefugte 
Benutzung frisch hergesteilter Chipkarten dar. 

SchlieBlich kann der Datenaustausch zwischen einer 
Anwenderchipkarte AKi und der Lizenzchipkarte (LK 
mittels der Schreib-Lesestation AKG) vorteilhaft in ei- 
ner kryptologisch verschlusselten Form erfolgen. 

Patentanspruche 

1. Chipkartensystem, dessen Chipkarten (AK, LK) 
jeweils mindestens einen internen Prozessor (P) 
und einen nichtfluchtigen Speicher (S) zumindest 
fur ein Betriebssystem des Prozessors (P) aufwei- 
sen,mit 

1.1 einer ATielzahl von Anwenderchipkarten 
(AKn), deren Prozessor (P) jeweils erst nach 
einer Freischaltung Anwenderbefehlsanwei- 
sungen ausfuhren kann, 

1^ zumindest einer Lizenzchipkarte (LK), in 
deren nichtfluchtigen Speicher (S) eine be- 
grenzbare Anzahi von freischaltbaren Anwen- 
derchipkarten (AKn) verwaltbar ist, und mit 
13 mindestens einer Schreib-Lesestation 
(AKG) fur Chipkarten (LK), woruber 

13.1 in einer Anwenderchipkarte (AKi) 
die Freischaltung des internen Prozessors 
(P) wirkt wird, wenn im Speicher (S) der 
Lizenzchipkarte (LK) die Anzahi der frei- 
schaltbaren Anwenderchipkarten (Akn) 
noch nicht erschopf t ist, und 

13.2 im Speicher (S) der Lizenzchipkarte 
(LK) eine Dekrementierung der Anzahi 
freischaltbarer Anwenderchipkarten 
(Akn) bewirkt wird. 

2. Chipkartensystem nach Anspruch 1, wobei die 
mindestens eine Lizenzchipkarte (LK) und die An- 
wenderchipkarten (AKn) hardwaremaBig identisch 
sind. 

3. Chipkartensystem nach Anspruch 1 oder 2, wobei 

3.1 vom Prozessor (P) einer Anwenderchipkar- 
te (AKi) zur Auslosung einer Freischaltung zu- 
nachst eine Zufallszahl erzeugt und mittels der 
Schreib-Lesestation (AKG) an die Lizenzchip- 
karte (LK) ubertragen wird, 

3.2 vom Prozessor (P) der Lizenzchipkarte 
(LK) fur den Fall, daB die Anzahi freischaltba- 
rer Anwenderchipkarten (Akn) im Speicher (S) 
noch nicht erschopft ist, eine von der jeweili- 
gen Zufallszahl abhangige Freigabekennung 
(FDi) generiert und mittels der Schreib-Lese- 
station (AKG) an die Anwenderchipkarte 
(AKi) ubertragen wird, und 

33 vom Prozessor (P) der Anwenderchipkarte 
(AKi) die Freigabekennung (FDi) auf Korre- 
spondenz mit der Zufallszahl uberpruft und bei 
positivem Ausgang der Prufung eine Aktivie- 
rung des gesamten Satz zulassiger Anwender- 
befehlsanweisungen bewirkt wird 

4. Chipkartensystem nach einem der Anspruche 1 
oder 2, wobei die Freischaltung einer Anwender- 
chipkarte (AKi) durch Obertragung eines vom Be- 
triebssystem fur die Ausfuhrung von Anwenderbe- 
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fehlsanweisungen bendtigten Freigabedatensatzes 
in den nichtfluchtigen Speicher der Anwenderchip- 
karte (AKi) fiber die Schreib-Lesestation (AKG) 
erfolgt ' 
5. Chipkartensystem nach Anspruch 3, wobei 5 
5.1 vom Prozessor (P) einer Anwenderchipkar- 
te (AKi) zur Auslosung einer Freischaitung zu- 
nachst eine Anforderung auf Obermittlung ei- 
nes Freigabedatensatzes (FDi) mittels der 
Schreib-Lesestation (AKG) an die Lizenzchip- t0 
karte (LK) ubertragen wird, 

52 vom Prozessor (P) der Lizenzchipkarte 
(LK) fur den Fail, daB die Anzahl freischaltba- 
rer Anwenderchipkarten (AKn) im Speicher 
(S) noch nicht erschopft ist, ein Freigabedaten- j 5 
satz (FDi) generiert und mittels der Schreib- 
Lesestation (AKG) an die Anwenderchipkarte 
(AKi) ubertragen wird, und 

53 vom Prozessor (P) der Anwenderchipkarte 
(AKi) der Freigabedatensatz zur Aktivierung 20 
des gesamten Satzes an zulassigen Anwender- 
befehlsanweisungen des Betriebssystems in 
den zumindest das Betriebssystem der Anwen- 
derchipkane (AKi) enthaltenden nichtfluchu- 
gen Speicher (S) fur geladen wird 25 

6. Chipkartensystem nach Anspruch 4 oder 5, wobei 
aJs Freigabedatensatz eine betriebssystemspezifi- 
sche Kommandotabelle (KTB) im nichtfluchtigen 
Programmspeicher des Prozessors dient, womit die 
Zuordnung (adr 1 . . . adr k . . . adr n) von Anwender- 30 
befehlsanweisungen (AWB x) zu den diese jeweiis 
ausfuhrenden Teilen des Betriebssystems (BSC) der 
Anwenderchipkarte (AKi) hergestellt wird 

7. Chipkartensystem nach einem der vorangegan- 
genen Ansprfiche, wobei der Datenaustausch zwi- 35 
schen einer Anwenderchipkarte (AKi) und der Li- 
zenzchipkarte (LK) mitteis der Schreib-Lesestation 
(AKG) in einer kryptologisch verschlusselten Form 
erfolgt. 
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